阿里云出事了

事情源于阿里云发现了一个很严重的计算机漏洞！那是什么级别的计算机漏洞呢？计算机漏洞简单来说就是软件上的一个缺陷，可以使得别人可以攻击或者远程操控您的计算机。但这里有个区别，如果这个缺陷是编制过程中无意产生的才叫漏洞，但如果这个缺陷是软件公司故意留下的那就叫后门儿，后门儿又分了好几种，一种是没有太多恶意的，比如软件厂商为了方便测试或者远程的维修维护而留下的接口，一般情况也会让客户知道有这种远程调试的接口。还有一种是说不清有没有恶意，比如用户不知道，只有厂商才知道，就好像您去配钥匙，结果配钥匙的师傅偷偷给自己留了一把，您说这有没有恶意啊？反正不会是留个纪念吧。在十几年前，微软就被爆出在简体中文版本上留有后门，然后还有最后一种后门就相当别有用心了，是由某个神秘组织特别定制的。不了解的朋友可以去了解一下棱镜门事件。阿里云发现的这个后门儿是藏在美国阿帕奇基金会里的一个日志组件住。那所谓日志组件就相当于咱们平时写的日记，能记录您的计算机每天都发生了什么，什么时候开机，打开哪些文件，做了哪些操作等等，是计算机系统中最重要的组件之一。而阿帕奇这个组件应用的范围极广，点几个用这个组件的客户名字大家就知道了，苹果、亚马逊、特斯拉、京东、腾讯、百度、新浪等等都用了这个组件，利用这个漏洞啊攻击者只要提交一段代码，就可以进入到对方的服务器，而且可以获得最高权限。

所以，阿里云的这次发现都可能被称为是计算机 历史 上最严重的一个漏洞啊！本来这是阿里云的一大贡献！但是！随后他的操作就有点让人目瞪口呆了！他把这个漏洞报告给阿帕奇基金会，然后……就没有然后了……

直到12月9日！咱们的有关部门才通过国外已经沸沸扬扬的新闻才知道这件事儿。而此时离阿里云发现漏洞已经时隔整整15天的时了！也就是说国外凡是知道这个漏洞的人或者单位都能轻松地侵入我们的服务器！要知道阿里云在第三季度已经占据了全国近40%的市场份额，一半以上的上市公司都在使用阿里云！

【文/观察者网 吕栋】

这事缘起于一个月前。当时，阿里云团队的一名成员发现阿帕奇（Apache）Log4j2组件严重安全漏洞后，随即向位于美国的阿帕奇软件基金会通报，但并没有按照规定向中国工信部通报。事发半个月后，中国工信部收到网络安全专业机构的报告，才发现阿帕奇组件存在严重安全漏洞。

阿帕奇组件存在的到底是什么漏洞？阿里云没有及时通报会造成什么后果？国内企业在发现安全漏洞后应该走什么程序通报？观察者网带着这些问题采访了一些业内人士。

漏洞银行联合创始人、CTO张雪松向观察者网指出，Log4j2组件应用极其广泛，漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。

关于Log4j2组件在计算机网络领域的关键作用，有国外网友用漫画形式做了形象说明。按这个图片解读，如果没有Log4j2组件的支撑，所有现代数字基础设施都存在倒塌的危险。

国外社交媒体用户以漫画的形式，说明Log4j2的重要性

观察者网梳理此次阿帕奇严重安全漏洞的时间线如下：

根据公开资料，此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具，控制Java类系统日志信息生成、打印输出、格式配置等，大量的业务框架都使用了该组件，因此被广泛应用于各种应用程序和网络服务。

有资深业内人士告诉观察者网，Log4j2组件出现安全漏洞主要有两方面影响：一是Log4j2本身在java类系统中应用极其广泛，全球Java框架几乎都有使用。二是漏洞细节被公开，由于利用条件极低几乎没有技术门槛。因适用范围广和漏洞利用难度低，所以影响立即扩散并迅速传播到各个行业领域。

简单来说，这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

这并非危言耸听。美联社等外媒在获取消息后评论称，这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j2在全行业和政府使用的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

阿里云官网截图

然而，阿里云在发现这个“过去十年内最大也是最关键的单一漏洞”后，并没有按照《网络产品安全漏洞管理规定》第七条要求，在2天内向工信部网络安全威胁和漏洞信息共享平台报送信息，而只是向阿帕奇软件基金会通报了相关信息。

观察者网查询公开资料发现，阿帕奇软件基金会（Apache）于1999年成立于美国，是专门为支持开源软件项目而办的一个非营利性组织。在它所支持的Apache项目与子项目中，所发行的软件产品都遵循Apache许可证（Apache License）。

12月10日，在阿里云向阿帕奇软件基金会通报漏洞过去半个多月后，中国国家信息安全漏洞共享平台才获得相关信息，并发布《关于Apache Log4j2存在远程代码执行漏洞的安全公告》，称阿帕奇官方已发布补丁修复该漏洞，并建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

中国国家信息安全漏洞共享平台官网截图

事实上，国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍，业界通用的漏洞报送流程是，成员单位>工业和信息化部网络安全管理局 >国家信息安全漏洞共享平台（CNVD） CVE 中国信息安全测评中心 >国家信息安全漏洞库（CNNVD）>国际非盈利组织CVE；非成员单位或个人注册提交CNVD或CNNVD。

根据公开资料，CVE（通用漏洞共享披露）是国际非盈利组织，全球通用漏洞共享披露协调企业修复解决安全问题，由于最早由美国发起该漏洞技术委员会，所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台，由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

上述业内人士认为，阿里这次因为漏洞影响较大，所以被当做典型通报。在CNVD建立之前以及最近几年，国内安全人员对CVE的共识、认可度和普及程度更高，发现漏洞安全研究人员惯性会提交CVE，虽然最近两年国家建立了CNVD，但普及程度不够，估计阿里安全研究员提交漏洞的时候，认为是个人技术成果的事情，上报国际组织协调修复即可。

但根据最新发布的《网络产品安全漏洞管理规定》，国内安全研究人员发现漏洞之后报送CNVD即可，CNVD会发起向CVE报送流程，协调厂商和企业修复安全漏洞，不允许直接向国外漏洞平台提交。

由于阿里云这次的行为未有效支撑工信部开展网络安全威胁和漏洞管理，根据工信部最新通报，工信部网络安全管理局研究后，决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

业内人士向观察者网指出，工信部这次针对是阿里，其实也是向国内网络安全行业从业人员发出警示。从结果来看对阿里的处罚算轻的，一是没有踢出成员单位，只是暂停6个月。二是工信部没有对这次事件的安全研究人员进行个人行政处罚或警告，只是对直接向国外CVE报送的Log4j漏洞的那个安全专家点名批评。

本文系观察者网独家稿件，未经授权，不得转载。

---